
Benutzer und Kunden-Account Registrierung
Vertrag
Vertrag über die Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 und 29 DSGVO
abgeschlossen zwischen
in weiterer Folge auch „Verantwortlicher“ genannt,
und
Jobcluster Deutschland GmbH
Fuldaer Straße 13
36124 Eichenzell
Deutschland
in weiterer Folge auch „Auftragsverarbeiter“ genannt,
beide Parteien gemeinsam werden auch „Vertragsparteien“ genannt.
1. Allgemeines
Der Auftragsverarbeiter erbringt für den Verantwortlichen Dienstleistungen auf Grundlage vertraglicher Vereinbarungen (Hauptvertrag), zustande gekommen durch die Registrierung des Verantwortlichen im „One-Click-Recruiter“ des Auftragsverarbeiters. Im Zuge dieser Leistungen ist es erforderlich, dass der Auftragsverarbeiter personenbezogene Daten verarbeitet, für die der Verantwortliche im Sinne des Datenschutzrechts verantwortlich ist.
Die vertraglichen Leistungen des Auftragsverarbeiters bestehen insbesondere aus:
- Personalbeschaffung
2. Wesentliche Inhalte der Auftragsverarbeitung
Der Auftragsverarbeiter erbringt gemäß Hauptvertrag Leistungen für den Verantwortlichen und verarbeitet in diesem Zusammengang personenbezogene Daten in den nachfolgenden Aufgabenbereichen.
- Distribution von Anzeigen
- Bereitstellungen von Recruiting-Software und -Apps
- Beratungsdienstleistungen
- IT-Dienstleistungen
2.1. Dauer der Verarbeitung
Die Dauer der Verarbeitung ist zunächst grundsätzlich unbestimmt. Die Verarbeitung endet, soweit die vertraglichen Hauptleistungspflichten des Auftragsverarbeiters, gleich aus welchem Rechtsgrund, wegfallen.
2.2. Zweck und Art der Verarbeitung
Mit der Verarbeitung der personenbezogenen Daten werden die vertraglich geschuldeten Pflichten erfüllt. Die personenbezogenen Daten werden erhoben, erfasst, geordnet, gespeichert und verwendet.
2.3. Art der personenbezogenen Daten
Es werden einfache personenbezogene Daten verarbeitet, nämlich:
- Vorname
- Familienname
- Geschlecht
- Geburtsdatum
- Anschrift
- Telefon
- Telefax
- E-Mail-Adresse
2.4. Kategorien der von der Datenverarbeitung betroffenen Personen
Bei den betroffenen Personen handelt es sich um
- Kundendaten
- Mitarbeiterdaten
- Lieferantendaten
- Bewerberdaten
2.5. Ort der Verarbeitung
Die Verarbeitung von Daten durch den Auftragsverarbeiter erfolgt ausschließlich im Gebiet von Mitgliedstaaten der Europäischen Union. Eine Datenverarbeitung außerhalb dieses Gebiets, auch im Wege der Gewährung des Zugriffs auf Auftragsdaten an Personen außerhalb dieses Gebiets, bedarf der vorherigen schriftlichen Zustimmung des Verantwortlichen. Die Zustimmung darf nicht willkürlich verweigert werden. Eine Datenverarbeitung in Ländern, die nicht Mitgliedstaat der Europäischen Union sind (nachfolgend „Drittstaaten“), darf nur unter der weiteren Bedingung erfolgen, dass die Voraussetzungen der Artikel 44, 45, 46 oder Artikel 49 DSGVO erfüllt sind.
3. Verarbeitung auf Weisung
3.1. Grundsatz
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf (durch den Hauptvertrag, diesen Vertrag über die Auftragsverarbeitung oder individuell) erteilte Weisung des Verantwortlichen, sofern er nicht durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zur Verarbeitung verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Verantwortliche hat das Recht, jederzeit ergänzende Weisungen zu erteilen. Mündliche Weisungen wiederholt der Verantwortliche unverzüglich in Textform.
3.2. Erteilung und Empfang von Weisungen
Weisungsberechtigte Personen aufseiten des Verantwortlichen sind:
- alle User mit Bestellrechten
Zur Entgegennahme von Weisungen berechtigte Personen aufseiten des Auftragsverarbeiters sind:
- Alle Beschäftigten der Jobcluster Deutschland GmbH
3.3. Dokumentationspflicht
Der Auftragsverarbeiter hat die Weisung des Verantwortlichen hinreichend zu dokumentieren. Die elektronische Form der Dokumentation genügt.
3.4. Informationspflicht bei Zweifeln an der Rechtmäßigkeit der Weisung
Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich darüber informieren, wenn eine vom Verantwortlichen erteilte Weisung nach seiner Auffassung gegen gesetzliche Regelungen verstößt. Der Auftragsverarbeiter ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Verantwortlichen bestätigt oder geändert wird. Die Beurteilung der Zulässigkeit der Datenverarbeitung durch den Verantwortlichen ist für den Auftragsverarbeiter bindend.
Die Vertragsparteien haften einander für Schäden, die ihnen aus einer Durchführung oder einer Aussetzung der Durchführung entstehen, die auf einer rechtlichen Fehleinschätzung der anderen Partei beruht.
4. Verpflichtung zur Vertraulichkeit und zur Einhaltung des Datenschutzes
Der Auftragsverarbeiter setzt bei der Durchführung der Leistungen nur Beschäftigte ein, die (i) entweder vertraglich zur Vertraulichkeit verpflichtet wurden oder gesetzlich zur Verschwiegenheit verpflichtet sind und (ii) zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden.
5. Sicherheit der Datenverarbeitung
5.1. Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessenes Schutzniveau zu gewährleisten. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos im Sinne von Artikel 32 Abs. 1 DSGVO zu berücksichtigen. Die konkreten technischen und organisatorischen Maßnahmen werden in Anlage 2 aufgelistet. Sie unterliegen dem technischen Fortschritt und der Weiterentwicklung.
5.2. Wesentliche Änderungen, die die Integrität, Vertraulichkeit, Belastbarkeit oder Verfügbarkeit der Maßnahmen beeinträchtigen können, bedürfen der Zustimmung des Verantwortlichen. Der Verantwortliche darf die Zustimmung nicht unbillig verweigern. Das durch die mit diesem Vertrag vereinbarten Maßnahmen gewährleistete Schutzniveau darf nicht unterschritten werden. Änderungen sind hinreichend zu dokumentieren. Der Verantwortliche kann jederzeit eine aktuelle Beschreibung der vom Auftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen anfordern.
6. Unterauftrag
6.1. Eigenmächtige Inanspruchnahme von Unterauftragnehmern
Der Auftragsverarbeiter setzt für die Leistungserbringung Unterauftragnehmer in Form der Jobbörsen ein, auf denen die Stellenanzeigen geschaltet werden. Für diese Unterauftragserteilung erteilt der Auftraggeber seine allgemeine Genehmigung, die notwendigen Informationen des Auftragsverarbeiters über Hinzuziehung oder Ersetzung von Unterauftragnehmern erteilt der Auftragsverarbeiter regelmäßig, näheres hierzu regelt Anlage 1.
Sonstige Unterauftragnehmer darf der Auftragsverarbeiter nur mit vorheriger gesonderter Zustimmung des Verantwortlichen in Anspruch nehmen. Die Zustimmung des Verantwortlichen hat schriftlich binnen einer Frist von 4Wochen zu erfolgen.
6.2. Abgrenzung
Nicht als Unterauftragsverhältnisse sind Dienstleistungen anzusehen, die der Auftragsverarbeiter bei Dritten als reine Nebenleistung in Anspruch nimmt, um seine geschäftliche Tätigkeit auszuüben. Dazu gehören beispielsweise Reinigungsleistungen, reine Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragsverarbeiter für den Verantwortlichen erbringt, Post- und Kurierdienste, Transportleistungen und Bewachungsdienste. Der Auftragsverarbeiter ist gleichwohl verpflichtet, auch bei Nebenleistungen, die von Dritten erbracht werden, Sorge dafür zu tragen, dass angemessene Vorkehrungen getroffen wurden, um den Schutz personenbezogener Daten des Verantwortlichen zu gewährleisten. Wartungs- und Pflegeleistungen stellen zustimmungspflichtige Unterauftragsverhältnisse dar, soweit die Wartung und Prüfung solche IT-Systeme betrifft, die auch im Zusammenhang mit der Erbringung von Leistungen für den Verantwortlichen aus diesem Vertrag genutzt werden.
7. Unterstützung des Verantwortlichen bei der Erfüllung von Betroffenenrechten
7.1. Soweit eine Mitwirkungsleistung des Auftragsverarbeiters für die Wahrung von Betroffenenrechten durch den Verantwortlichen erforderlich ist, wird der Auftragsverarbeiter die jeweils erforderlichen Mitwirkungsleistungen nach Weisung des Verantwortlichen erbringen.
7.2. Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich darüber informieren, wenn Betroffene ihre Betroffenenrechte gegenüber dem Auftragsverarbeiter geltend machen.
8. Unterstützung des Verantwortlichen bei der Erfüllung eigener Pflichten
8.1. Der Auftragsverarbeiter unterstützt den Verantwortlichen in dem jeweils erforderlichen Umfang dabei, die dem Verantwortlichen obliegenden Pflichten,
- ein dem Risiko angemessenes Schutzniveau zu gewährleisten,
- die Verletzung des Schutzes personenbezogener Daten an Aufsichtsbehörden unverzüglich und möglichst binnen 72 Stunden zu melden,
- den in Bezug auf eine Verletzung Betroffenen zu benachrichtigen,
- eine Datenschutz-Folgenabschätzung durchzuführen und ggf. vor Verarbeitung die zuständige Aufsichtsbehörde zu konsultieren,
zu erfüllen.
8.2. Der Auftragsverarbeiter ist verpflichtet, dem Verantwortlichen jeden Verstoß gegen datenschutzrechtliche Vorschriften oder gegen vertragliche Vereinbarungen und/oder die erteilten Weisungen des Verantwortlichen, der durch ihn oder Dritte erfolgt ist und der einen Bezug zu dieser Auftragsverarbeitung hat, unverzüglich in schriftlicher Form mitzuteilen, wobei Textform genügt. Eine mündliche Mitteilung ist in Textform nachzuholen. Der Auftragsverarbeiter dokumentiert die Verletzungen einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, deren Auswirkungen und der ergriffenen Abhilfemaßnahmen.
8.3. Der Verantwortliche und der Auftragsverarbeiter arbeiten gem. Artikel 31 DSGVO auf Anfrage der Aufsichtsbehörde mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen. Der Auftragsverarbeiter ist verpflichtet, im Falle von Maßnahmen der Aufsichtsbehörde gegenüber dem Verantwortlichen gemäß Artikel 31 DSGVO, insbesondere im Hinblick auf Auskunfts- und Kontrollpflichten die erforderlichen Auskünfte an den Verantwortlichen zu erteilen und der jeweils zuständigen Aufsichtsbehörde eine Vor-Ort-Kontrolle zu ermöglichen. Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die dafür erforderlich sind, dass der Verantwortliche den Nachweis darüber erbringen kann, dass er seine datenschutzrechtlichen Pflichten als Verantwortlicher einhält.
8.4. Der Auftragsverarbeiter wirkt bei der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten im Sinne von Artikel 30 Abs. 1 DSGVO durch den Verantwortlichen mit. Er hat dem Verantwortlichen die erforderlichen Angaben in geeigneter Weise mitzuteilen. Insbesondere wird er dem Verantwortlichen einen Auszug aus seinem Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 Abs. 2 DSGVO mitteilen, damit dieser sein Verzeichnis von Verarbeitungstätigkeiten erstellen kann.
8.5. Ferner wird der Auftragsverarbeiter den Verantwortlichen – sofern rechtlich zulässig – unverzüglich darüber informieren, wenn eine Aufsichtsbehörde bei dem Auftragsverarbeiter Kontrollhandlungen oder Maßnahmen unternimmt, die sich auf diese Auftragsverarbeitung beziehen.
9. Löschung und Rückgabe
9.1. Der Auftragsverarbeiter hat nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten sowie Unterlagen, sonstige Daten und erstellte Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, nach Wahl des Verantwortlichen entweder zu löschen oder zurückzugeben, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung bzw. Aufbewahrung besteht. Gleiches gilt für Test- und Ausschussmaterial. Die Daten des Auftragsverarbeiters sind unwiederbringlich datenschutzgerecht zu löschen. Eine unwiderrufliche physische Löschung ist zu protokollieren. Dies betrifft auch etwaige Datensicherungen beim Auftragsverarbeiter. Der Auftragsverarbeiter hat die Löschung in geeigneter Weise zu dokumentieren. Bestehen gesetzliche Aufbewahrungspflichten, hat die Löschung der Daten nach Ende der Aufbewahrungspflicht zu erfolgen. Ein angemessenes Löschkonzept ist zu dokumentieren.
9.2. Vor Abschluss der Erbringung der Vertragsleistungen darf der Auftragsverarbeiter nicht mehr benötigte Daten erst nach vorheriger Zustimmung durch den Verantwortlichen löschen. Die Zustimmung zur Löschung kann auch durch eine Einigung der Vertragsparteien auf ein Löschkonzept erteilt werden.
9.3. Der Verantwortliche hat das Recht, die vollständige und vertragsgemäße Rückgabe oder Löschung der Daten beim Auftragsverarbeiter zu kontrollieren. Dies kann auch nach vorheriger Anmeldung mit angemessener Frist durch eine Inaugenscheinnahme der Datenverarbeitungsanlagen in der Betriebsstätte des Auftragsverarbeiters erfolgen.
10. Ermöglichung von Kontrollen und Zurverfügungstellung von Informationen
10.1. Der Verantwortliche hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch, im Einzelfall zu benennende, Prüfer durchführen zu lassen, um die Einhaltung der gesetzlichen Vorschriften zum Datenschutz, der zwischen den Vertragsparteien getroffenen vertraglichen Regelungen und der Weisungen des Verantwortlichen durch den Auftragsverarbeiter jederzeit im erforderlichen Umfang zu kontrollieren.
10.2. Der Auftragsverarbeiter ist dem Verantwortlichen gegenüber zur Auskunftserteilung verpflichtet, soweit dies zur Durchführung der Kontrolle erforderlich ist.
10.3. Der Verantwortliche kann eine Einsichtnahme in die vom Auftragsverarbeiter für den Verantwortlichen verarbeiteten Daten sowie in die verwendeten Datenverarbeitungssysteme und -programme verlangen. Der Verantwortliche kann hierzu nach vorheriger Anmeldung mit angemessener Frist die Kontrolle in der Betriebsstätte des Auftragsverarbeiters zu den jeweils üblichen Geschäftszeiten vornehmen. Der Verantwortliche wird dabei Sorge dafür tragen, dass die Kontrollen nur im erforderlichen Umfang durchgeführt werden, um die Betriebsabläufe des Auftragsverarbeiters durch die Kontrollen nicht unverhältnismäßig zu stören.
10.4. Der Auftragsverarbeiter kann die Einhaltung der technischen und organisatorischen Maßnahmen durch geeignete Bestätigungen, wie z. B. aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren), nachweisen.
11. Kündigung
Die Kündigung richtet sich nach dem der Verarbeitung zugrunde liegenden vertraglichen Verhältnis.
12. Schlussbestimmungen
12.1. Sollte das Eigentum des Verantwortlichen beim Auftragsverarbeiter durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragsverarbeiter den Verantwortlichen unverzüglich zu informieren. Der Auftragsverarbeiter wird die Gläubiger über die Tatsache, dass es sich um Daten handelt, die im Auftrag verarbeitet werden, unverzüglich informieren.
12.2. Nebenabreden bedürfen der Textform, es sei denn, sie betreffen die Beauftragung weiterer Auftragnehmer, die der Schriftform bedürfen (siehe Ziffer 6). Entsprechendes gilt auch für die Änderung oder Aufhebung dieser Klausel.
Anlage 1 – Unter-Auftragsverarbeiter
Der Auftragsverarbeiter setzt zur Erbringung seiner vertraglichen Leistungen andere Unternehmen als Subunternehmer ein.
Hierbei handelt es sich um die Betreiber derjenigen Jobbörsen, die der Verantwortliche im Rahmen seiner jeweiligen Anzeigenschaltungen aktiv auswählen kann. Der Verantwortliche hat es damit durch die konkrete Auswahl von Jobbörsen jederzeit selbst in seiner Kontrolle, welche Unter-Auftragsverarbeiter er zur Abwicklung seines Auftrages einbindet.
Der Auftragsverarbeiter stellt unter der URL
https://www.jobcluster.de/datenschutz/partner.html
eine Übersicht der zurzeit als mögliche Subunternehmer auswählbaren Jobbörsen-Betreiber zum Abruf zur Verfügung. Alle genannten Betreiber sind durch entsprechende Auftragsverarbeitungs-Vereinbarungen mit dem Auftragsverarbeiter mindestens in dem Maße datenschutzrechtlich verpflichtet, wie sich der Auftragsverarbeiter mit vorliegender Vereinbarung gegenüber dem Verantwortlichen verpflichtet.
Wählt der Verantwortliche im Rahmen der Auftragserstellung einen der aufgeführten Subunternehmer aktiv aus, so erklärt er damit seine Zustimmung zur Unter-Auftragsverarbeitung durch diesen Betreiber.
Anlage 2 – Technisch-organisatorische Maßnahmen
Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau im Hinblick auf die erforderliche Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer zu gewährleisten.
Die Parteien haben das erforderliche Schutzniveau gemeinsam ermittelt (Artikel 32 Abs. 1 DSGVO). Die Parteien sind zu dem Ergebnis gekommen, dass das Risiko der Verarbeitung als durchschnittlich einzustufen ist und daher auch ein durchschnittliches Schutzniveau einzuhalten ist.
Das durchschnittliche Schutzniveau wird durch die Maßnahmen eingehalten, welche unter der URL
https://www.jobcluster.de/datenschutz/TOMs.php
beschrieben werden.